미국 법무부가 공개한 엡스타인 파일 300만 페이지에서 구글이 수사기관 소환장에 응답해 제공하는 사용자 데이터의 구체적 실태가 최초로 드러났다. 영장 없이 소환장만으로 계정 이름, IP 주소, 안드로이드 기기 고유번호까지 넘기는 구조이다.
미국 법무부가 2026년 1월 30일 제프리 엡스타인 관련 문서 300만 페이지 이상을 공개한 가운데, 와이어드(WIRED)가 이 파일에서 구글이 수사기관에 제공하는 사용자 데이터의 구체적 범위를 최초로 분석해 보도했다. 전체 엡스타인 파일은 600만 페이지에 달하며, 나머지 절반은 아동 성 학대 자료 및 피해자 보호 사유로 비공개 상태이다.
이번 분석에서 드러난 핵심은 구글이 소환장(subpoena)만으로, 즉 판사의 영장 승인 없이도 광범위한 사용자 정보를 수사기관에 제공한다는 사실이다. 엡스타인의 공모자 기슬레인 맥스웰(Ghislaine Maxwell) 수사 과정에서 구글이 제공한 데이터 항목이 문서에 고스란히 남아 있었다.
소환장 한 장으로 넘어가는 데이터의 범위
엡스타인 파일에 포함된 구글의 소환장 응답 서한에 따르면, 구글이 수사기관에 제공하는 가입자 정보는 다음과 같다. 계정 이름, 복구용 이메일 주소 및 전화번호, 접근 가능한 구글 서비스 목록, 계정 생성일, 서비스 약관 동의 시 IP 주소, IP 주소 활동 로그 등이다. 여기에 안드로이드 기기를 사용하는 경우 하드웨어 및 소프트웨어 세부 정보, 기기 IMEI 번호, 최초 및 최근 구글 서비스 연결 타임스탬프와 IP 주소까지 포함된다.
추가로 고객 프로필 정보에는 생년월일, 우편 주소 2건, 신용 승인 상태, 결제 고객 번호 등 다양한 시스템 식별자가 들어 있다.
전자프론티어재단(EFF) 수석 변호사 마리오 트루히요(Mario Trujillo)는 이 구조에 대해 다음과 같이 설명했다.
“그 반대편에 기본 가입자 정보가 있다. 저장통신법은 정부가 소환장만으로 해당 정보를 취득할 수 있도록 명시적으로 허용하며, 이는 반드시 사법부 승인을 필요로 하지 않는다.”
법적 근거와 데이터 접근 단계
이러한 데이터 제공의 법적 근거는 1986년 제정된 저장통신법(Stored Communications Act, SCA)이다. 이 법은 전자통신 프라이버시법(ECPA)의 일부로, 수사기관이 접근할 수 있는 데이터의 종류에 따라 필요한 법적 기준을 다르게 설정하고 있다.
| 데이터 유형 | 필요 법적 절차 | 사법부 승인 |
|---|---|---|
| 기본 가입자 정보 (이름, IP, 기기 정보) | 소환장(subpoena) | 불필요 |
| 메타데이터 (통화 기록, 접속 기록) | 법원 명령(court order) | 필요 |
| 이메일 내용 | 영장(search warrant) + 상당한 이유 | 필요 |
| 실시간 위치 정보 | 법원 명령(court order) | 필요 |
가장 낮은 법적 기준인 소환장만으로도 계정의 실질적 신원 확인에 필요한 거의 모든 정보가 넘어간다는 점이 핵심이다. 아이오와대학교 법학 교수 메건 그레이엄(Megan Graham)은 “대중에게 보이는 익명성이라는 것이 있다. 자신의 이름과 무관한 핸들(닉네임)을 사용하는 것이다”라고 말하며, 구글 가입자 정보에는 실명이 포함될 수 있어 온라인 익명성이 허상일 수 있다고 지적했다.
엡스타인 파일에서 드러난 또 다른 쟁점은 비공개 명령(gag order) 관행이다. 2019년 서한에서 수사기관은 구글에 소환장 대상자인 맥스웰에게 180일간 데이터 제공 사실을 알리지 못하도록 명령했다. 수사가 진행 중일 경우 이 기간은 연장될 수 있다. 즉, 이용자는 자신의 데이터가 수사기관에 넘어갔다는 사실을 최소 6개월간 알 수 없는 구조이다.
구글 대변인 카텔린 자바리(Katelin Jabbari)는 “구글은 모든 법적 요구의 법적 유효성을 검토한다”고 밝혔으며, 구글 법무팀은 서한에서 “검찰의 요청 범위를 초과하거나 공개로부터 보호되는 정보를 삭제(편집)할 것”이라고 명시했다.
구글 투명성 보고서에 따르면, 구글은 2009년부터 정부의 사용자 정보 요청 통계를 공개하고 있다. 2013년 하반기 기준 전 세계 정부로부터 3만 1,698건의 데이터 요청을 받았으며, 이는 약 4만 8,000개 사용자 계정에 영향을 미쳤다. 이 중 65%에서 실제 데이터가 제공되었다. 미국 정부의 요청이 1만 2,539건으로 글로벌 최다였으며, 2009년 대비 250% 증가한 수치이다. 독일 3,338건, 프랑스 3,002건이 그 뒤를 이었다. 글로벌 정부 데이터 요청은 2009년 이후 5년간 150% 증가했다.
한국 시사점: 130만 건의 통신자료 요청, 구조는 같다
이번 엡스타인 파일 공개는 한국 이용자에게도 직접적인 경각심을 던진다.
첫째, 한국 이용자도 동일한 데이터 수집 대상이다. 지메일(Gmail), 유튜브(YouTube), 안드로이드 기기를 사용하는 한국인의 계정 이름, 복구 이메일, IP 주소, IMEI 번호 등이 모두 소환장 대상이 될 수 있다.
둘째, 한국 수사기관의 데이터 요청 규모도 막대하다. 2024년 하반기 기준 수사기관의 통신자료 요청 건수는 130만 6,124건이었다. 전년도 221만 2,642건에서 41% 감소했으나 여전히 대규모이다. 검찰이 47만 2,898건, 경찰이 43만 1,151건 감소한 반면, 국정원과 공수처의 요청은 오히려 증가했다. 별도로 통신사실확인자료(통화 상대방 전화번호, 통화 일시, 인터넷 로그기록 등) 제공 건수도 25만 8,622건에 달했다.
셋째, 법적 구조가 유사하다. 미국의 저장통신법처럼 한국도 통신비밀보호법과 전기통신사업법에 따라 수사기관이 기본 가입자 정보에 영장 없이 접근할 수 있다. 2022년 헌법재판소의 무분별한 조회 위헌 결정 이후 자정 노력이 진행 중이지만, 프라이버시 보호의 사각지대는 여전히 존재한다.
넷째, 비공개 명령 관행의 유사성도 주목할 부분이다. 구글의 180일 비공개 명령은 한국의 통신제한조치 통지유예 제도와 구조적으로 닮아 있다. 이용자가 자신의 데이터가 수사기관에 제공된 사실을 한동안 알 수 없다는 점에서 투명성 문제가 제기된다.
한국 개인정보보호위원회는 2022년 구글과 메타에 총 1,000억 원(약 6,900만 달러)의 과징금을 부과한 바 있다. ‘내 데이터가 어디까지 수사기관에 공개될 수 있는가’라는 질문에 대해, 이번 엡스타인 파일은 구체적인 답을 보여주는 사례이다.
© 2026 TechMore. All rights reserved. 무단 전재 및 재배포 금지.
기사 제보
제보하실 내용이 있으시면 techmore.main@gmail.com으로 연락주세요.
